‘DefendNot’ adlı yeni bir araç, gerçek AV yüklenmese bile sahte bir antivirüs ürünü kaydederek Windows cihazlarında Microsoft Defans’u devre dışı bırakabilir.
Hile, antivirüs yazılımının Windows’u yüklediğini söylemek için kullandığı belgesiz bir Windows Güvenlik Merkezi (WSC) API’sını kullanır ve şimdi cihaz için gerçek zamanlı korumayı yönetir.
Bir antivirüs programı kaydedildiğinde, Windows, aynı cihazda birden fazla güvenlik uygulaması çalıştırmasını önlemek için Microsoft Defender’ı otomatik olarak devre dışı bırakır.
Araştırmacı ES3N1N tarafından oluşturulan DefendNot aracı, Windows’un tüm doğrulama kontrollerini karşılayan sahte bir antivirüs ürünü kaydederek bu API’yi kötüye kullanır.
Araç, üçüncü taraf bir antivirüs ürününden WSC ile parole kayıt yapmak için kod kullanan defender olmayan önceki bir projeye dayanmaktadır. Satıcı bir DMCA yayından kaldırma işleminden sonra bu önceki araç GitHub’dan çekildi.
“Daha sonra, sürümden birkaç hafta sonra, proje biraz patladı ve ~ 1.5K yıldız kazandı, bundan sonra kullandığım antivirüs geliştiricileri bir DMCA yayından kaldırma isteği sundu ve gerçekten hiçbir şey yapmak istemedim, bu yüzden her şeyi sildi ve bir gün çağırdı.”
Defendnot, kukla bir antivirüs dll aracılığıyla işlevselliği sıfırdan oluşturarak telif hakkı sorunlarından kaçınır.
Normalde, WSC API korumalı proses ışığı (PPL), geçerli dijital imzalar ve diğer özellikler yoluyla korunur.
Bu gereksinimleri atlamak için DefendNot, DLL’sini Microsoft tarafından imzalanmış ve zaten güvenilen bir sistem işlemine, TaskMgr.exe’ye enjekte eder. Bu süreçten, kukla antivirüsü sahte bir ekran adıyla kaydedebilir.
Kayıt olduktan sonra, Microsoft Defender hemen kendini kapatır ve cihazda aktif koruma bırakmaz.
Kaynak: BleepingComputer
Araç ayrıca yapılandırma verilerini bir ctx.bin dosyası aracılığıyla geçiren ve kullanmak istediğiniz antivirüs adını ayarlamanızı, kaydı kapatmanızı ve ayrıntılı günlüğe kaydetmeyi etkinleştirmenizi sağlar.
Kalıcılık için DefendNot, Windows görev zamanlayıcı aracılığıyla bir Autorun oluşturur, böylece Windows’a giriş yaptığınızda başlar.
DefendNot bir araştırma projesi olarak kabul edilirken, araç güvenlik özelliklerini kapatmak için güvenilir sistem özelliklerinin nasıl manipüle edilebileceğini gösterir.
Microsoft Defender şu anda DefendNot’u ‘win32/sabsik.fl. tespit.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.